le 20/04/2020

Covid-19 : recommandations de la CNIL en matière de télétravail

1er avril 2020, Les rappels de la CNIL sur la collecte des données personnelles

Les mesures actuelles de confinement ont naturellement imposé temporairement le télétravail comme mode normal de travail pour tous types de structures (de droit public ou privé et à but lucratif ou non) lorsque le télétravail peut être mis en place.   

C’est dans ce contexte que la CNIL a publié, le 1er avril dernier, certaines recommandations à destination des employeurs et des employés en vue d’assurer une sécurité renforcée des systèmes d’information et des données traitées pendant la période de transition.  

Pour les établissements sociaux et médico-sociaux (ESSMS) par exemple, ayant à traiter de nombreuses données sensibles au sens des articles 9 et 10 du Règlement européen sur la protection des données personnelles (RGPD) – notamment des données de santé ou des données relative à des mineurs délinquants – ou à tout le moins hautement intimes, la question de la sécurisation des traitements est cruciale.  

A titre de comparaison, il est intéressant de se référer à la condamnation récente du centre national d’addictologie irlandais par la CNIL irlandais à une amende administrative d’environ 20.000 euros en raison d’une violation constatée de données et du manque général de sécurisation de leur système d’information, malgré les nombreuses améliorations mises en place par le centre

Afin d’éviter une telle condamnation, il est donc essentiel de suivre les recommandations de la CNIL, en cette période de crise, à savoir notamment :  

  • Éditer une charte de sécurité dans le cadre du télétravail ou, dans le contexte actuel, au moins un socle de règles minimales à respecter, et communiquez ce document à vos collaborateurs suivant les règles posées par le règlement intérieur.  
  • S’il est nécessaire de modifier les règles de gestion du système d’information pour permettre le télétravail (changement des règles d’habilitation, accès des administrateurs à distance, etc.), il convient de mesurer les risques encourus et, au besoin, de prendre les mesures nécessaires. 
  • Equiper tous les postes de travail des salariés au minimum d’un pare-feu, d’un antivirus et d’un outil de blocage de l’accès aux sites malveillants. 
  • Mettre en place un VPN pour éviter l’exposition directe de vos services sur internet, dès que cela est possible.  
  • Mettre en place des mécanismes d’authentification forts à double facteur afin de limiter le risque d’intrusion. 
  • Consulter régulièrement les journaux d’accès de connexion afin de repérer les comptes suspects et comportements anormaux.  

 

Ces mesures visent à éviter le détournement, la modification, la suppression ou l’altération intentionnelle ou par erreur des données personnelles dans le cadre de l’activité à distance des collaborateurs (à l’instar du récent hacking subi par la mairie de Marseille).  

Enfin, nous vous rappelons que, même dans le contexte pandémique actuel, et pour les collaborateurs pour lesquels le télétravail est exclu (ce qui est le cas de nombreux salariés des ESSMS), il est prohibé de procéder à des relevés systématiques et généralisés de la température corporelle ou de collecter des questionnaires médicaux. En revanche, il semble possible d’inviter à la remontée individuelle d’information les concernant (en cas par exemple d’exposition au virus). Nous vous invitons, à ce sujet, à prendre connaissance des recommandations de la CNIL.